我正在我们的工作站上实施软件限制政策。 该政策是阻止除白名单列表的path列表。
我试图在Thunderbird用户的configuration文件中列出一个目录,以允许Lightning扩展工作。 path是%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll 。
用户的configuration文件名称是随机生成的,所以我需要一个通配符。
不幸的是,这似乎不工作,因为通配符。 该DLL继续被SRP阻止。
我也尝试白名单上的证书(该DLL是由Mozilla证书签名),但这是行不通的。 也许这只适用于签署.exe?
我白色列出了目前的散列,但这将需要每次发布雷鸟后维护,所以我宁愿白名单path。
Applocker不是一个选项,我们正在使用Windows 10 Pro。
任何想法?
几分钟前我面临同样的问题,现在我认为解决scheme比你想象的要简单。
%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
成为:
%APPDATA%\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
(没有显示“漫游”子文件夹,因为APPDATA已经解决了它。)
无论如何,恕我直言,这暴露在有针对性的攻击,因为该DLL将保持用户可写。
欢迎提出build议。 😉
用Mozilla提交错误报告!
绝对不要使用像用户完全控制的“%APPDATA%”这样的组件(这里是variables和目录)定义path规则。
也不要使用这些组件来定义registrypath规则。
为DLL定义一个散列或证书规则!